Der Faktor Mensch Ist teure Sicherheitssoftware ohne Betrachtung des Benutzers (Layer 8) nutzlos? Manfred Beth IT-Tag Saar 2015 15.10.2015 Saarbrücker Messegelände Referent Manfred Beth (Dipl.-Betriebswirt, gepr. Datenschutzbeauftragter) Geschäftsstellenleiter Saarbrücken Diplom-Arbeit: Datenschutz und Datensicherheit bei fortschreitender Technik Seit 2010 als Berater bei der Beratung verschiedener sozialer Einrichtungen, Industriebetrieben, Energieversorgern usw. 2 1
Unternehmensgruppe 3 Dienstleistungen der UIMC 4 2
5 Ursachen von Schäden Schäden mit mittlerer und größerer Bedeutung: 8% Sabotage (inkl. DoS) 9% Manipulation zum Zweck der Bereicherung 10% Informationsdiebstahl / unbefugte Kenntnisnahme 10% höhere Gewalt 26% Software-Mängel/-Defekte 30% Mitarbeiter-Irrtum und Nachlässigkeit 31% Malware (Viren, Würmer, Trojaner etc.) Haupteinfalls-Tor: E-Mail, Download, USB-Sticks Quelle: KES-Studie 2014 6 3
Es menschelt in der IT KES Studie : 77 % (KMU) Vertraulichkeitsbrüche durch die eigenen Mitarbeiter verschuldet. Menschlicher Irrtum, wie z. B.:» Fahrlässige Zerstörung oder Verlust von Geräten oder Daten» Nichtbeachtung von IT-Sicherheitsmaßnahmen» Gefährdung durch Reinigungs- oder Fremdpersonal» Fehlerhafte Administration des IT-Systems» Konfigurations- und Bedienungsfehler» Ungeeigneter Umgang mit Passwörtern Technik kann nie 100%ige Sicherheit erreichen es kommt auch immer auf denjenigen an, der sie bedient! 7 Das OSI-Modell Open Systems Interconnection Model Layer 8 Layer 7 Layer 6 Layer 5 Layer 4 Layer 3 Layer 2 Layer 1 Schicht zwischen Monitor und Stuhllehne Anwendungsschicht Darstellungsschicht Sitzungsschicht Transportschicht Vermittlungsschicht Sicherungsschicht Bitübertragungsschicht 8 4
Problemfelder Behinderung der Verbesserung der Lage 68% 64% 59% Bewusstsein der Mitarbeiter 58% 49% 57% Geld 53% 56% 47% Bewusstsein der Geschäftsleitung 27% 25% 27% mangelnde Umsetzung v. Konzepten 18% 16% 13% Fehlende Produkte 2014 2012 2010 Quelle: KES-Studie 2014 9 Was passiert in den Betrieben so? Was passiert denn so in den Betrieben? 10 5
Schöne Welt der IT-Trends Mobilität» auch im ICE produktiv sein» selbst im Café erreichbar Work-Life-Balance» Bring Your Own Device» Home Office Networking» schnelle Kommunikation im Web 2.0» Informationsbeschaffung über soziale Netzwerke, Foren usw. 11 Ein Freund, ein guter Freund, das ist das Beste, was es gibt auf der Welt 12 6
Nutzungsformen im Unternehmen Nutzer Aktive Nutzung durch Unternehmen ( Passive ) Nutzung durch Mitarbeiter Art Facebook- Fanpage und -Like- Button Twitter- Kanal Recruiting während der Arbeitszeit in der Freizeit Risiko Datenschutz, Reputation, Social Engineering, Informationsabfluss, (Un-)Kontrollierbarkeit Zeitfresser, Reputation, Informationsabfluss 13 Unvorsichtigkeit als Risiko Arbeitsrechtliche Probleme» Von der Kaffeeküche in die Welt-Öffentlichkeit» Stichwort arbeitsvertragliche Nebenpflichten Alte Gefahren in neuem Gewand» (Social) Phishing, Malware, Trojaner, Passwort-Diebstahl» Fehlender Vertraulichkeitsschutz (wer liest mit?) (vermeintliche) Freunde» Gezielte Informationsbeschaffung über soziale Netzwerke» Soziale Netzwerke als Ausgangspunkt für weiteres Social Engineering» Verifikation der Identität des Freunds oft kaum möglich (Die Facebook-Soldatin kann auch zur Wirtschaftspionage eingesetzt werden) 14 7
Menschliche Schwächen Öffentliche Diskussionen» gefühlte Verpflichtung der Kommunikation» sich wichtig machen mit großem Forum» Vorteil als Nachteil: Mitarbeiter sind kritischer als Kunden» Interna werden öffentlich diskutiert ( statt in Kaffeeküche ) Wettbewerber, Headhunter oder Kunden als Empfänger!? Fehlendes Bewusstsein für Verantwortung? Fotos vom Arbeitsplatz mit ungewollten Begleit- Informationen Apps: noch schneller und Zugriff auf das Adressbuch 15 Exkurs: mobile Nutzung / Apps Umfangreiche und z. T. undurchsichtige Rechte» von Apps und» bei Smartphone-Betriebssystemen (ios, Android, Windows Phone etc.) Verfolgung des Aufenthaltsorts (intransparenter) Datentransfer von Inhalten usw.» nicht genehmigtes Outsourcing Abgleich von Adressbüchern mit sozialen Netzwerken Bei Verlust der Hardware auch Zugriff auf soziale Netzwerke 16 8
Teure Sicherheitstechnik Sicherheitsmaßnahmen Elektronisches Schließsystem Besucherausweise Berechtigungsverfahren Passworte Virensoftware VPN- und Container- Verschlüsselung Warnhinweise DLP-Systeme Menschliche Schwächen Trägheit Überforderung Unverständnis Unkenntnis Freundlichkeit Profilierungssucht Mögliche Konsequenz? 17 Superman braucht keinen Gurt! (Muhammed Ali zur Flugbegleiterin) 18 9
Superman braucht auch kein Flugzeug! (Die Antwort der Flugbegleiterin) 19 Traurig, aber wahr...» Ja klar! Wir haben eine Pflichtentrennung bei der Rechtebeantragung: Der Mitarbeiter beantragt und ich pflege dies in die Active Directory ein. (Administrator eines QM-zertifizierten Mittelständlers)» Natürlich haben wir eine Alarmanlage! Wenn jemand eine Scheibe einwirft, dann werden die Nachbarn das schon melden! (EDV-Leitung einer Sparkasse)» Bei uns werden alle Berechtigungen zeitlich begrenzt vergeben! [beachte: Ablaufdatum laut AD: 31.12.2099] (EDV-Leitung einer größeren Universitätsklinik) 20 10
Stufen der Kompetenz Buschmann Unbewusste Inkompetenz Fahrschüler Bewusste Inkompetenz Probezeit Bewusste Kompetenz Routinier Unbewusste Kompetenz 21 Was tun? Verlassen Sie sich nicht auf Ihre Technik! Erstellen klarer Regelungen (DOs and DONTs) Bilden Sie Ihre Mitarbeiter fort (Schulungen) Sensibilisieren Sie Ihre Mitarbeiter Darstellung der Bedeutung der Regeln Transparenz im Hinblick auf mögliche Gefahren Sicherheit ist kein Projekt! Sondern ein Prozess! Leben Sie die Informationssicherheit (dies bedeutet auch, dass Sie kontrollieren müssen!) 22 11
Informationssicherheit und Datenschutz ist? eine Aufgabe der IT-Abteilung ein Wunsch der Geschäftsführung wichtig für den Erhalt des Unternehmens eine Aufgabe für alle! 23 Informationssicherheit ist? eine Aufgabe der IT-Abteilung ein Wunsch der Geschäftsführung Führungskräfte wichtig für den Erhalt sind oft wie Zitronenfalter eine Aufgabe für uns alle! des Unternehmens denn die falten auch keine Zitronen! 24 12
Fragen?? Fragen? Diskussion?? consultants[at]uimc.de (0202) 265 74-0 25 Vielen Dank! UIMC DR. VOSSBEIN GMBH & CO. KG Nützenberger Straße 119 42115 Wuppertal Altenkesseler Str. 17 (InnovationsCampus Saar) 66115 Saarbrücken Telefon: (0202) 265 74-0 Telefax: (0202) 265 74 19 E-Mail: consultants@uimc.de Internet: www.uimc.de akkreditiert durch: UIMCert GmbH Moltkestraße 19 42115 Wuppertal Telefon: (0202) 3 09 87 39 Telefax: (0202) 3 09 87 49 E-Mail: certification@uimcert.de Internet: www.uimcert.de 26 13